Makro bloķēšana ir tikai pirmais solis, lai uzvarētu ļaunprātīgu programmatūru

August 02, 2022
InJaunumi Internets Un Drošība

Microsoft lēmums bloķēt makro atņems apdraudējuma dalībniekiem šo populāro ļaunprātīgas programmatūras izplatīšanas līdzekli.
Tomēr pētnieki atzīmē, ka kibernoziedznieki jau ir mainījuši taktiku un ievērojami samazinājuši makro izmantošanu pēdējās ļaunprātīgās programmatūras kampaņās.
Makro bloķēšana ir solis pareizajā virzienā, taču dienas beigās cilvēkiem ir jābūt uzmanīgākiem, lai izvairītos no inficēšanās, iesaka eksperti.

Microsoft dators, kas parāda brīdinājumu par ļaunprātīgu failu. — Eds Hārdijs / Unsplash.

Kamēr Microsoft paņēma savu saldo laiku nolemjot bloķēt makro pēc noklusējuma programmā Microsoft Office, draudu dalībnieki ātri apiet šo ierobežojumu un izstrādāja jaunus uzbrukuma vektorus.

Saskaņā ar jauns pētījums drošības pārdevējs Proofpoint, makro vairs nav iecienītākais ļaunprātīgas programmatūras izplatīšanas līdzeklis. No 2021. gada oktobra līdz 2022. gada jūnijam parasto makro izmantošana samazinājās par aptuveni 66%. No otras puses, izmantošana ISO faili (diska attēls) reģistrēts pieaugums par vairāk nekā 150%, savukārt izmantošana

LNK (Windows failu saīsnes) faili tajā pašā laika posmā pieauga par 1675%. Šie failu tipi var apiet Microsoft makro bloķēšanas aizsardzību.

"Draudu dalībnieki, kas atsakās no tiešas makropielikumu izplatīšanas e-pastā, ir būtiskas izmaiņas draudu vidē." Šerrods Degripo, Proofpoint draudu izpētes un atklāšanas viceprezidents, teikts paziņojumā presei. "Draudu dalībnieki tagad pieņem jaunu taktiku, lai piegādātu ļaunprātīgu programmatūru, un sagaidāms, ka turpināsies pastiprināta tādu failu kā ISO, LNK un RAR izmantošana."

Kustība līdzi laikam

E-pasta apmaiņā ar Lifewire Hārmens Sings, kiberdrošības pakalpojumu sniedzēja direktors Cifēra, aprakstīja makro kā mazas programmas, ko var izmantot, lai automatizētu uzdevumus programmā Microsoft Office, un XL4 un VBA makro ir Office lietotāju visbiežāk izmantotie makro.

No kibernoziedzības perspektīvas Sings sacīja, ka draudu dalībnieki var izmantot makro dažās diezgan nepatīkamās uzbrukuma kampaņās. Piemēram, makro var izpildīt ļaunprātīgas koda rindas upura datorā ar tādām pašām privilēģijām kā personai, kas ir pieteikusies. Draudu dalībnieki var ļaunprātīgi izmantot šo piekļuvi, lai izfiltrētu datus no apdraudēta datora vai pat iegūtu papildu ļaunprātīgu saturu no ļaunprātīgas programmatūras serveriem, lai piesaistītu vēl vairāk kaitīgu ļaunprātīgu programmatūru.

Tomēr Sings ātri piebilda, ka Office nav vienīgais veids, kā inficēt datorsistēmas, bet "tas ir viens no populārākajiem [mērķiem], jo gandrīz visi lietotāji izmanto Office dokumentus Internets."

Lai valdītu draudos, Microsoft sāka atzīmēt dažus dokumentus no neuzticamām vietām, piemēram, internets ar atribūtu Mark of the Web (MOTW) — koda virkni, kas norāda uz drošības iedarbināšanu Iespējas.

Savā pētījumā Proofpoint apgalvo, ka makro izmantošanas samazināšanās ir tieša atbilde uz Microsoft lēmumu failos atzīmēt MOTW atribūtu.

Sings nav pārsteigts. Viņš paskaidroja, ka saspiestie arhīvi, piemēram, ISO un RAR faili, nepaļaujas uz Office un var paši palaist ļaunprātīgu kodu. "Ir skaidrs, ka taktikas maiņa ir daļa no kibernoziedznieku stratēģijas, lai nodrošinātu, ka viņi pieliek pūles, lai izvēlētos labāko uzbrukuma metodi, kurai ir vislielākā [cilvēku inficēšanas] iespējamība."

Satur ļaunprātīgu programmatūru

Ļaunprātīgas programmatūras iegulšana saspiestos failos, piemēram, ISO un RAR failos, arī palīdz izvairīties no atklāšanas metodēm, kas koncentrējas uz failu struktūras vai formāta analīzi, skaidroja Singhs. "Piemēram, daudzas ISO un RAR failu noteikšanas ir balstītas uz failu parakstiem, kurus var viegli noņemt, saspiežot ISO vai RAR failu ar citu saspiešanas metodi."

Rokas uz datora tastatūras ar vīrusu grafiku, kas pārklāts uz ekrāna. — sarayut / Getty Images

Saskaņā ar Proofpoint teikto, tāpat kā ļaundabīgie makro, vispopulārākais veids, kā pārsūtīt šos arhīvus, kuros ir daudz ļaunprātīgas programmatūras, ir e-pasts.

Proofpoint pētījums ir balstīts uz dažādu bēdīgi slavenu apdraudējuma dalībnieku darbību izsekošanu. Tā novēroja jauno sākotnējo piekļuves mehānismu izmantošanu, ko izmanto grupas, kas izplata Bumblebee un Emotet ļaunprātīgu programmatūru, kā arī vairāki citi kibernoziedznieki visu veidu ļaunprātīgai programmatūrai.

"Vairāk nekā puse no 15 izsekotajiem apdraudējuma dalībniekiem, kas izmantoja ISO failus [laikā no 2021. gada oktobra līdz 2022. gada jūnijam], sāka tos izmantot kampaņās pēc 2022. gada janvāra," uzsvēra Proofpoint.

Lai stiprinātu jūsu aizsardzību pret šīm apdraudējuma dalībnieku taktikas izmaiņām, Sings iesaka cilvēkiem uzmanīties no nevēlamiem e-pastiem. Viņš arī brīdina cilvēkus neklikšķināt uz saitēm un atvērt pielikumus, ja vien viņi nav bez šaubām pārliecināti, ka šie faili ir droši.

"Neuzticieties nevienam avotam, ja vien jūs negaidāt ziņojumu ar pielikumu," atkārtoja Sings. "Uzticieties, taču pārbaudiet, piemēram, pirms [pielikuma atvēršanas] piezvaniet kontaktpersonai, lai noskaidrotu, vai tas tiešām ir svarīgs e-pasta ziņojums no jūsu drauga vai ļaunprātīga e-pasta vēstule no viņa uzlauztajiem kontiem."